Web 3.0 網絡保安新視野：應對數碼時代挑戰的策略與實踐

網絡世界已經出現Web 3.0產物，未來科技將圍繞Web 3.0迅速地發展，所以獲得業界及甚至政府重視：

• 2022年年底，香港特區政府就虛擬資產在香港的發展發表政策宣言。
• 2023年4月，香港Web 3.0協會正式成立，席間更邀得行政長官在成立典禮致辭。
• 2023年6月1日，證監會發布《適用於虛擬資產交易平台營運者的指引》正式生效。

但新技術亦帶來前所未見的網絡保安風險，與Web3.0技術有關的網絡保安事故頻生。

HKCERT已將針對Web 3.0的攻擊 列為2023年五大資訊保安風險之一，大眾有必要認識Web 3.0及其保安風險。

本篇文章會簡介什麼是Web 3.0，Web 3.0的一些網絡保安潛在風險及資訊保安建議。
 

從Web 1.0到Web 3.0

互聯網發展多年，技術多次提升，發展至今一般認為已踏入第三個時代：

Web 1.0（1991-2000年代初）：

Web 1.0被認為是互聯網的初期階段，以靜態HTML網頁為主。在這個時期，網站內容通常由網站開發者創建和更新，用戶僅能瀏覽和閱讀，無法與網站進行互動。這個時期的網站類似於線上的宣傳單張，以獲取和傳遞訊息為主要目的。

Web 2.0（2000年代初至今）：

Web 2.0是指一種更加互動和動態的網絡技術，這一時期的網站允許用戶參與創建和管理內容，提倡社交和協作。這個時期的代表性技術有AJAX、RSS，代表性網站有Facebook、YouTube、維基百科等。Web 2.0時期的網站具有更高的可用性和互動性，強調用戶參與，網絡成為一個共享和協作的平台。

Web 3.0（未來發展趨勢）：

Web 3.0利用人工智能、語義網（Semantic Web）、區塊鏈（Blockchain）、分散式應用等技術，使網站和應用程序能夠更好地理解、分析和處理數據，為用戶提供更精確和個性化的訊息。Web 3.0還將重視數據所有權和隱私保護，讓用戶對自己的數據有更多的控制權。

Web 3.0的網絡安全隱患

Web 3.0雖然帶來了許多優點，但同時也面臨著一些網絡安全隱患。以下是Web 3.0網絡安全隱患及網絡攻擊事件：

• 智能合約安全漏洞：智能合約是基於區塊鏈技術的自動執行協議。然而，由於它們是由人類編寫的程式碼，所以可存在人為疏忽或保安措施不足所引致的保安漏洞。
  2016年，一個名為The DAO的去中心化自治組織遭受攻擊，導致數百萬美元以太幣被盜。這次事件揭示了智能合約可能存在的安全隱患。
• 交易平台及分散式應用程式（DApps）安全問題：隨著Web 3.0的發展，越來越多的交易平台和DApps於市場上出現。然而，這些系統可能存在安全問題，如代碼漏洞、後端服務器安全等，有可能導致用戶數據和資產的損失。
  2021年8月19日，加密貨幣交易所 Liquid Global 遭受了一次價值約9,700萬美元的黑客攻擊。
  2022年3月，以太坊側鏈 Ronin被黑客取得私鑰，黑客共盜取了價值約6.2億美元的加密貨幣。
• 51%攻擊：區塊鏈技術的共識機制可能受到51%攻擊的威脅。當一個攻擊者或一個組織控制超過51%的網絡算力時，他們可以進行雙重支付攻擊，篡改交易記錄。這種攻擊已經發生在 一些小型區塊鏈網絡中。
  2019年1月，Ethereum Classic （ ETC ）網絡遭受了一次51%攻擊。攻擊者成功進行了多次雙重支付，盜取了價值超過100萬美元的ETC。
• 私隱洩露：雖然Web 3.0引入了許多隱私保護技術，如零知識證明和多方計算，但用戶在使用這些技術時仍需保持警惕。在某些情況下，用戶數據可能會在不知情的情況下被洩露給第三方。
• 價值交換中的詐騙和盜竊：數字貨幣和代幣的交換在Web 3.0時代變得越來越普遍。然而亦為詐騙和盜竊行為提供了機會。例如，一些不誠實的項目可能通過代幣首次代幣發行（ICO）進行詐騙，或者利用交易所的安全漏洞竊取用戶的資產。
• 釣魚攻擊：Web 3.0也不能避免釣魚攻擊，例如黑客可能會模仿一個流行的加密貨幣錢包或去中心化金融平台，然後通過電子郵件、社交媒體或其他途徑將假冒網站的鏈接發送給受害者。
  MetaMask是一個廣泛使用的以太坊瀏覽器插件錢包，黑客因此針對MetaMask發動釣魚攻擊，例如謊稱你的MetaMask錢包快將被停用，要求你點擊附件中的鏈結驗證你的帳戶。
  2023年6月，Bleeping Computer報導黑客組織Pink Drainer假冒Cointelegraph及Decrypt向受害者進行面試。獲取受害者信任後，要求受害者去假網站進行驗證，目的是偷取Discord或Twitter帳戶。其後，在被盜取的帳戶向追隨者發送假虛擬資產產項目或釣魚網站進行詐騙。OpenAI的首席技術官Mira Murati也是被攻擊目標之一。

保安建議

在Web 3.0時代，網絡保安變得尤為重要。以下是一些建議，以確保用戶能在Web 3.0環境下保障網絡安全：

• 保護加密貨幣資產：加密貨幣錢包有分冷錢包及熱錢包兩類，用戶可考慮只將小部份加密貨幣儲存在熱錢包內，方便交易；而大部份加密貨幣就存儲於冷錢包中，以降低被盜風險。
• 切勿透露加密貨幣錢包的恢復短語或私鑰：如黑客獲得短語或私鑰，可完全控制受害人加密貨幣錢包內的資產。
• 選擇網絡安全性高的虛擬資產交易平台：交易平台的保安漏洞是黑客的攻擊目標之一，用戶選用平台時應了解及比較平台的各項針對用戶資產保障的保安措施。
• 審查智能合約和DApps：在使用智能合約和分散式應用（DApps）之前，確保它們經過充分審查和測試。使用可靠的安全審查服務，並查看其他用戶的評價。
• 密碼管理：使用強密碼並定期更改，避免使用相同的密碼來訪問不同的網站和服務。可以考慮使用密碼管理器來生成和儲存密碼。
• 雙因素認證（2FA）：為帳戶啟用雙因素認證，以增加安全性。這通常需要在登錄時輸入一次性驗證碼，該驗證碼可以通過短訊、應用程序或硬件設備獲得。
• 安全的網絡連接：使用VPN或其他加密方法來保護在不安全的網絡上傳輸的數據。避免在公共無線網絡上進行敏感操作。
• 防範社交工程攻擊：對陌生人的電子郵件和消息保持警惕，不要隨意點擊鏈結或下載附件。確保與你互動的人或服務是可信的。
• 保護數碼身份：避免在不需要的情況下提供過多的個人訊息。
• 定期備份數據：定期備份重要數據，以防止數據丟失。將備份存儲在安全的地方，如加密的雲存儲或外部硬盤。
• 保持網絡保安知識更新：定期學習和了解新的網絡保安威脅和保護措施。參加安全培訓課程，並關注業內新聞和趨勢。
• 網絡保安政策和流程：對於企業來說，制定並實施網絡保安政策和流程至關重要。確保員工了解這些政策，並定期對其進行培訓。

HKCERT於本年 5月曾聯同政府資訊科技總監辦公室（OGCIO）與香港警務處（HKPF）合辦的「Web 3.0下的網絡保安」研討會，會上有資訊保安專家詳細解釋Web 3.0的保安風險，及示範黑客可如何觸發智能合約的漏洞及其後果，用戶可借鑒，參考如何在 Web 3.0 的世界中保護自己的網絡安全。

研討會上的講者演講片段已經上傳到HKCERT網站及YouTube頻道。有興趣的朋友請瀏覽以下網站連結重溫：

https://www.hkcert.org/tc/event/protect-your-online-security-in-web-3-0-seminar-build-a-secure-cyberspace-2023

參考資料

• https://en.wikipedia.org/wiki/Poly_Network_exploit
• https://www.cnbc.com/2021/08/19/liquid-cryptocurrency-exchange-hack.html
• https://news.trendmicro.com/2023/01/13/metamask-paypal-usps-amazon-phishing-scams/
• https://www.bleepingcomputer.com/news/cryptocurrency/hackers-steal-3-million-by-impersonating-crypto-news-journalists